Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Zadné vrátka DRILLAPP

Zadné vrátka DRILLAPP

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT), Zadné vrátka
Preložiť do:

Analytici kybernetickej bezpečnosti identifikovali novú hrozivú kampaň zameranú na ukrajinské organizácie, pričom indikátory naznačujú zapojenie aktérov prepojených s Ruskom. Aktivita, prvýkrát pozorovaná vo februári 2026, vykazuje technické prekrývanie s predchádzajúcou operáciou pripisovanou skupine známej ako Laundry Bear (tiež sledovanej ako UAC-0190 alebo Void Blizzard). Táto skoršia kampaň zameraná na ukrajinské obranné sily a nasadila malvérovú rodinu s názvom PLUGGYAPE.

Najnovšia operácia predstavuje zadné vrátka založené na JavaScripte, ktoré sa spúšťajú cez prehliadač Microsoft Edge. Malvér, ktorý výskumníci označujú ako DRILLAPP, je navrhnutý tak, aby zneužíval možnosti prehliadača na nahrávanie a sťahovanie súborov, prístup k mikrofónu a zachytávanie obrázkov z webovej kamery obete.

Útočníci sa na distribúciu škodlivých komponentov spoliehajú na taktiky sociálneho inžinierstva. Návnady odkazujúce na právne záležitosti alebo charitatívne účely sa používajú na povzbudenie obetí k otváraniu škodlivých súborov a spusteniu reťazca infekcie.

Klamlivé návnady a metóda počiatočnej infekcie

Kampaň bola pozorovaná v dvoch odlišných variantoch. Prvá verzia, zistená začiatkom februára 2026, používa ako počiatočný mechanizmus doručenia súbor skratiek systému Windows (LNK). Po spustení skratka vytvorí súbor HTML aplikácie (HTA) v dočasnom adresári systému. Tento súbor HTA potom načíta vzdialený skript hostovaný na legitímnej službe zdieľania vložených súborov Pastefy.

Aby útočníci zachovali trvalosť na napadnutých systémoch, skopírujú škodlivý súbor LNK do priečinka Po spustení systému Windows, čím zabezpečia jeho automatické spustenie po každom reštarte systému. Po spustení reťazca infekcie sa obetiam zobrazia adresy URL obsahujúce návnadové témy vrátane pokynov súvisiacich s inštaláciou Starlinku alebo odkazov na ukrajinskú charitatívnu organizáciu Come Back Alive Foundation.

Súbor HTA sa nakoniec spustí cez prehliadač Microsoft Edge pracujúci v bezhlavom režime, čo umožňuje prehliadaču spustiť obfuskovaný skript získaný z Pastefy bez zobrazenia štandardného okna prehliadača.

Zneužívanie parametrov prehliadača pre tajný prístup

Aby škodlivý proces maximalizoval svoje možnosti, spúšťa prehliadač Edge s viacerými parametrami, ktoré oslabujú vstavané bezpečnostné ochrany a umožňujú neoprávnený prístup k citlivým systémovým zdrojom.

Tieto parametre umožňujú inštancii prehliadača obísť typické bezpečnostné opatrenia a vykonávať akcie, ktoré sú bežne obmedzené bezpečnostnými modelmi prehliadača. Konfigurácia efektívne umožňuje malvéru prístup k lokálnym súborom, zachytávať zvukové a obrazové streamy a nahrávať aktivitu na obrazovke bez nutnosti akejkoľvek interakcie zo strany obete.

Medzi kľúčové parametre prehliadača použité pri útoku patria:

--bez karantény

--zakázať-web-zabezpečenie

--povoliť-prístup-k-súborom-zo-súborov

--use-fake-ui-for-media-stream

--automatický-výber-zdroja-snímania-obrazovky=true

--disable-user-media-security

Zneužívaním týchto nastavení sa prehliadač stáva funkčnou súčasťou infraštruktúry škodlivého softvéru, a nie len jeho doručovacou platformou.

Funkcie zadných vrátok a sledovania v prehliadači

Artefakt DRILLAPP funguje ako ľahký, ale všestranný zadný vrátnik. Po aktivácii umožňuje útočníkom interagovať s infikovaným systémom prostredníctvom funkcií prehliadača, čím efektívne premieňa prehliadač na nástroj na vzdialený dohľad.

Malvér je schopný vykonávať niekoľko operácií, ktoré umožňujú rozsiahle monitorovanie a zhromažďovanie údajov z napadnutých zariadení.

Medzi základné schopnosti patria:

  • Nahrávanie a sťahovanie súborov z lokálneho systému
  • Zachytávanie zvuku cez mikrofón zariadenia
  • Nahrávanie videa cez webkameru
  • Vytváranie snímok obrazovky zo systému
  • Generovanie jedinečného odtlačku prsta zariadenia pomocou techník odtlačkov prstov na plátne

Počas svojho prvého spustenia malvér vygeneruje odtlačok zariadenia a použije Pastefy ako „prekladač mŕtvych umiestnení“ na získanie adresy WebSocket používanej na komunikáciu príkazov a riadenia. Táto architektúra umožňuje útočníkom dynamicky presmerovať infikované systémy do ich operačnej infraštruktúry.

Zadné vrátka tiež prenášajú odtlačok prsta zariadenia spolu s odvodenou geografickou polohou obete. Poloha sa určuje z časového pásma systému a porovnáva sa s preddefinovaným zoznamom, ktorý zahŕňa Spojené kráľovstvo, Rusko, Nemecko, Francúzsko, Čínu, Japonsko, Spojené štáty, Brazíliu, Indiu, Ukrajinu, Kanadu, Austráliu, Taliansko, Španielsko a Poľsko. Ak sa časové pásmo nezhoduje so žiadnou z týchto oblastí, malvér predvolene identifikuje systém ako nachádzajúci sa v Spojených štátoch.

Vyvíjajúce sa techniky v druhom variante kampane

Druhá verzia kampane sa objavila koncom februára 2026 a zaviedla niekoľko úprav, pričom zachovala celkovú štruktúru útoku. Namiesto spoliehania sa na súbory skratiek LNK používa aktualizovaný variant ako počiatočný mechanizmus doručovania moduly ovládacieho panela systému Windows.

Samotná komponenta backdoor tiež prešla funkčnými vylepšeniami. Tieto vylepšenia umožňujú malvéru vykonávať hlbšie operácie so súborovým systémom a zlepšujú jeho schopnosť získavať dáta z infikovaných prostredí.

Medzi významné vylepšenia patrí rekurzívne vymenovanie súborov, dávkové nahrávanie súborov a možnosť sťahovať ľubovoľné súbory priamo do napadnutého systému.

Obchádzanie obmedzení JavaScriptu pomocou nástrojov na ladenie prehliadača Chromium

Štandardné bezpečnostné obmedzenia JavaScriptu zvyčajne bránia vzdialenému kódu v priamom sťahovaní súborov do systému obete. Na obídenie tohto obmedzenia útočníci využívajú protokol Chrome DevTools Protocol (CDP), interné ladiace rozhranie používané prehliadačmi založenými na prehliadači Chromium.

Prístup k CDP je možný iba vtedy, keď je prehliadač spustený s povoleným parametrom --remote-debugging-port. Aktiváciou tejto ladiacej funkcie získajú útočníci možnosť programovo ovládať správanie prehliadača a obchádzať typické obmedzenia na strane klienta, čím umožňujú vzdialené sťahovanie súborov, ktoré by inak boli blokované.

Ukazovatele včasného vývoja a experimentálna infraštruktúra

Dôkazy naznačujú, že malvér je stále v aktívnom vývoji. Skorší variant objavený v reálnom čase 28. januára 2026 komunikoval výlučne s doménou „gnome.com“ namiesto toho, aby načítaval svoj primárny dátový obsah z Pastefy.

Toto správanie naznačuje, že útočníci môžu stále zdokonaľovať svoju infraštruktúru aj operačné schopnosti zadných vrátok.

Zneužívanie prehliadača ako nová stratégia obchádzania

Jedným z najvýznamnejších aspektov kampane je zámerné používanie webového prehliadača ako primárneho prostredia na vykonávanie zadných vrátok. Tento prístup zdôrazňuje rastúci trend, v ktorom útočníci prepoužívajú legitímny softvér, aby sa vyhli odhaleniu.

Prehliadače poskytujú niekoľko výhod pre škodlivé operácie. Sú široko používané a zvyčajne sa považujú za neškodné procesy, čo znižuje pravdepodobnosť okamžitého podozrenia. Okrem toho môžu parametre ladenia prehliadača odomknúť výkonné funkcie, ktoré umožňujú inak obmedzené akcie, ako je vzdialené sťahovanie súborov a rozsiahly prístup k systému.

Okrem toho si prehliadače zachovávajú legitímne povolenia na interakciu s citlivými hardvérovými zdrojmi vrátane mikrofónov, kamier a mechanizmov na snímanie obrazovky, čo útočníkom umožňuje vykonávať sledovacie aktivity a zároveň sa prispôsobiť bežnému správaniu systému.

Trendy

Najviac videné

Načítava...